Problemas conocidos para

Problemas de
Problemas conocidos después de la migración a Google Cloud Platform (GCP)
Núm. de problema
Problema
SEPGCP-6963
En Symantec Endpoint Protection Manager 14.3 MP1 y versiones anteriores, la funcionalidad de puente no funcionará después de la migración a GCP.
Para obtener más información, consulte el siguiente artículo de la base de conocimiento: In SEPM 14.3 MP1 and lower, the bridge functionality will not work after the migration to GCP
SEPGCP-6730
Después de la migración a GCP, el registro del cargador del puente muestra el siguiente error:
Error HTTP: 503 (servicio no disponible)
Después de transcurrir un tiempo, el error se corrige automáticamente. Es posible usar el vaciado DNS manualmente para solucionar el error 503 de forma inmediata.
CDM-63546, SEPGCP-5789
Después de la migración a GCP, la información de la sincronización no se muestra correctamente:
  • En la página
    Administración de dispositivos
    ,
    Estado de la última sincronización
    muestra
    Error
    y no se muestra la hora de la
    Próxima sincronización
    .
  • En la página
    Acceso y autenticación
    , no se muestra la hora de la
    Próxima sincronización
    .
Este problema no tiene ningún impacto funcional y después de un tiempo se mostrará la información precisa.
Problemas conocidos en
Núm. de problema
Problema
CDM-65955
No se admite trabajar en la consola en la nube utilizando varias fichas del navegador y puede causar un cierre de sesión inesperado de la ficha activa actualmente. Este cierre de sesión es causado por el tiempo de espera de la sesión de la consola en la nube en una de las otras fichas que está abierta en segundo plano.
Solución alternativa:
Para mantener el tiempo de espera de la sesión sincronizado en todas las fichas, desactive la opción
Throttle Javascript timers in background
en el explorador de Google Chrome o Microsoft Edge.
ESMAC-2012
La actualización de macOS de la versión 10.15 a la versión 11.0 antes de actualizar el Agente de Symantec para Mac de la versión 14.2/14.3 a la versión 14.3 RU1 crea dispositivos duplicados en la consola en la nube.
Para evitar duplicados, se debe actualizar el cliente antes de actualizar el sistema operativo (es decir, primero actualizar el Agente de Symantec para Mac de la versión 14.2/14.3 a la versión 14.3 RU1 y, a continuación, actualizar macOS de la versión 10.15 a la versión 11.0).
CDM-58203
Es posible que tenga que usar una carpeta personalizada como ubicación para instalar varias aplicaciones. En algunos casos, una aplicación también puede generar automáticamente más carpetas durante la instalación. La página
Elementos detectados > Aplicaciones
muestra cualquier aplicación instalada en la carpeta personalizada y además incluye cualquier carpeta de aplicación adicional. Por ejemplo, se instala Firefox y Safari en la misma ubicación de carpeta. Si la instalación de Safari ha generado más carpetas, Elementos detectados muestra la carpeta personalizada, así como todas las carpetas de Safari, como parte de la aplicación Firefox.
Si se bloquean cualquiera de las aplicaciones con dichas asociaciones de carpeta, es posible que se bloqueen otras aplicaciones que no desee bloquear.
SEP-62347
Para los agentes de la versión 14.2, los detalles de eventos del Aislamiento de aplicaciones del comportamiento no muestran información del proceso del ejecutor ni del proceso principal. La información aparece en los detalles del evento para los agentes de la versión 14.3.
CDM-55787
Para los agentes de la versión 14.2, los detalles de eventos muestran la política asociada como la política predeterminada de Protección contra software malicioso en lugar de una política de Aislamiento de aplicaciones del comportamiento.Para los agentes de la versión 14.3, los detalles muestran la política correcta.
SEP-57645
Después de inscribir un dominio de
, los agentes que están instalados en entornos virtuales se enumeran como dispositivos físicos en lugar de dispositivos virtuales. Para encontrar los agentes instalados en los entornos virtuales o físicos, vaya a
Endpoint
>
Dispositivos
. En la ficha
Dispositivos administrados
, busque
Factor de forma
.
SEP-54806
SEP-54808
Una política de MEM que se bloquea en
no se muestra como bloqueada en la consola en la nube.
Como solución temporal a este problema, bloquee la política en la consola en la nube.
SEP-54784
Cuando se desbloquea la política de Protección contra software malicioso en la consola en la nube, la opción
Confiar automáticamente en cualquier archivo descargado de un sitio de confianza de Internet o intranet
de Diagnóstico Insight de descargas no se desbloquea en el cliente de
.
SEP-54656
La política de firewall en la consola en la nube no se desbloquean en el cliente a menos que la política de Prevención de intrusiones en la consola en la nube también esté desbloqueada.
SEP-54868
Cuando se desbloquea la política de MEM y la política de Prevención de intrusiones en la consola en la nube, la opción
Mostrar notificaciones de la Prevención de intrusiones y de la Mitigación de puntos vulnerables de memoria
aún se muestra como bloqueada en el cliente de
.
CCD-1699, CCD-1698
La implementación del agente a través de Workspace ONE solo funciona cuando un usuario con derechos de administrador local ha iniciado sesión en el dispositivo. Si ningún usuario ha iniciado sesión en el dispositivo o el usuario que ha iniciado la sesión no tiene derechos de administrador local, se producirá un error en la instalación. Es posible que se vea que se ha producido un error en la instalación porque el dispositivo no se ha inscrito en el plazo de 72 horas después de la implementación.
Este comportamiento se produce cuando se implementa alguna aplicación a través de Workspace ONE.
Para evitar este comportamiento, inicie sesión en el dispositivo como usuario con derechos de administrador local.
SEP-45238
Los dispositivos que
administra se muestran siempre como
Administrados por Endpoint Protection Manager
en el widget
Estado de seguridad del dispositivo
.
Esto es lo esperado. Solamente los dispositivos que se administran en la consola en la nube son evaluados en busca de riesgos por el panel de información de
.
SEP-44689
Los clientes de
administrados en la nube informan sobre una alerta de evento de seguridad,
Bloquear acceso a autorun.inf
. Sin embargo, si
no tiene una política de Control de aplicaciones, no está claro por qué el cliente ha generado esta alerta.
Esto es lo esperado. De forma predeterminada, el cliente de
habilita el Control de aplicaciones y la regla que bloquea autorun.inf. Puede deshabilitar esta regla con
, pero en este momento no puede deshabilitarla mediante una política en la consola en la nube.
EPMP-57868
Cuando se ve una alerta del Control de dispositivos y se intenta seguir un hipervínculo, se ve un mensaje de error similar al siguiente: "La operación no puede completarse. Se ha producido un error inesperado." La alerta no es reciente, pero todavía no es lo suficientemente antigua para la depuración.
Esto es lo esperado. El vínculo de navegación en una alerta ya no funciona si:
  • Se ha eliminado el dispositivo externo que ha activado la alerta.
  • El dispositivo ya no tiene un cliente de
    .
CDM-42510
La API de exportación de eventos limita el número total de eventos que se pueden recuperar dentro de una consulta dada en 10000 eventos. La paginación superior a 10000 da lugar a un error. Como solución alternativa para este problema, use un intervalo de tiempo más corto o seleccione menos nombres de función como parte de la consulta de filtro. Esta acción limita el número de eventos que se devuelven.
Puesto que la API se basa en la hora del evento, la invocación de la API de exportación de eventos usando la última marca de tiempo sincronizada perderá cualquier evento que llegue tarde.
Es posible que vea estos problemas cuando use el complemento de ICDx con
.
Se ha planificado una corrección para estos problemas en una versión futura.
Problemas conocidos en el Control de aplicaciones y el Aislamiento de aplicaciones
Núm. de problema
Problema
SAEP-30639
Con la Protección de aplicaciones habilitada en el cliente de
, inesperadamente se podrán descargar archivos PDF si se usa el navegador Microsoft Edge. La prevención de descarga de archivos PDF funciona como se esperaba con otros navegadores.
Se ha planificado una corrección para este problema en una versión futura.
Las aplicaciones no se inician incluso después de la anulación porque los procesos asociados de la aplicación anulada no se agregan a la lista de permitidos.
Las notificaciones para anular y bloquear la aplicación no se muestran si el nombre de la ruta del archivo tiene más de 238 caracteres.
SAEP-31161
Las políticas de Aislamiento de aplicaciones y las políticas de Aislamiento de plataformas listas para su uso incluyen reglas en varias opciones de políticas para proteger las rutas de registro de Windows para las aplicaciones y el sistema operativo. Los administradores también pueden configurar reglas personalizadas para estas rutas del registro.
Las reglas del registro solo se aplican cuando el estado de la opción se configura en ON. Cualquier operación de registro solo se registra cuando
Acceder a la configuración del registro
para las reglas se configura en
Registrar
,
Registrar los importantes
o
Registrar los triviales
.
Con estas reglas de políticas y estos valores de configuración del registro, hay problemas conocidos en las situaciones siguientes:
  • Una regla de registro de protección incluye un parámetro
    Nombre de usuario
    .
    El usuario especificado puede crear, modificar o eliminar los valores del registro asociados con las claves protegidas. Un administrador también puede cambiar el nombre de la clave de registro protegida.
  • Una regla de registro de protección no incluye un parámetro
    Nombre de usuario
    .
    No se informa sobre las operaciones de agregación, modificación o eliminación de clave y valor en las rutas de registro configuradas en la regla. Estos eventos protegidos del registro (PREG) no se registran. Las rutas de registro, sin embargo, sí están protegidas.
La obtención de detalles no funciona para el widget
Cobertura de aislamiento para detecciones sospechosas
.
4161174
Aislamiento de aplicaciones: la ficha
Versiones
no muestra todas las versiones de la aplicación en un dispositivo habilitado para el aislamiento.
Vaya a
Elementos detectados > Aplicaciones
y seleccione una aplicación. Seleccione la ficha
Versiones
. La lista de versiones no muestra una versión diferente de la aplicación que está instalada en los dispositivos.
Es posible que vea este problema en las situaciones siguientes:
  • Se detecta una aplicación en un dispositivo y, a continuación, se agrega un nuevo dispositivo en el cual se detecta una versión diferente de la aplicación.
  • Instale o desinstale una aplicación en los dispositivos existentes.
La detección de aplicaciones se ejecuta una vez cada 24 horas. Es posible que deba esperar un período de tiempo hasta que la detección de aplicaciones se complete antes de que aparezcan versiones nuevas o diferentes en la lista de versiones.
CDM-35380
Internet Explorer se bloquea en Windows 10 RS6 cuando se ejecuta un script de AutoIt para descargar archivos en un dispositivo que usa la siguiente configuración de la política de Aislamiento de navegadores:
  • Bloquear la descarga de archivos ejecutables o de contenido
  • Permitir anulaciones de usuarios
Como solución alternativa para este problema, cambie la configuración de políticas para permitir los archivos descargados.
CDM-38969
La política de aislamiento de Internet Explorer no impide que un usuario abra y descargue un archivo PDF en una ventana del navegador Internet Explorer cuando Adobe Reader está instalado en el endpoint.
Si habilita
Restriccionesde descarga para Internet Explorer > Bloquear la descarga de archivos de contenido
, los usuarios pueden continuar abriendo, descargando y guardando los archivos PDF en Internet Explorer si Acrobat Reader está instalado. Cuando Internet Explorer abre un PDF en una ventana del navegador, Acrobat Reader es el proceso que inicia el PDF, de modo que la configuración del aislamiento no se aplica.
La activación o desactivación de
Bloquear descarga de archivos de contenido
no cambia el uso de Internet Explorer de Acrobat Reader para los archivos PDF en una ventana del navegador. Symantec no recomienda desactivar la configuración porque bloquea la descarga de archivos cuando los usuarios seleccionan un vínculo PDF en una ventana del navegador o cuando Adobe Acrobat Reader no está instalado.
Problemas conocidos de la Integridad de red y la Redirección de tráfico
Número
Problema
Si se cambia el nombre de la política de Integridad de red en la consola, el Agente de Symantec no refleja el nombre de política actualizado.
Este comportamiento ocurre cuando se cambia el nombre de la política de Integridad de red sin realizar cambios a la configuración de la política.
Como solución temporal a este problema, cambie el nombre de política mientras modifica la configuración de políticas.
En la ficha
Endpoint
> ficha
Mis tareas
, la tarea
Configurar acceso a la nube segura
permanece en estado
Pendiente
hasta que se proporciona un token de WSS válido en la página
Endpoint
>
Configuración
>
Integración de Web Security Service
.
Además, en la ficha
Endpoint
>
Página principal
, en
Endpoint Security
, la cantidad total de
Tareas de prioridad alta
identifica siempre la tarea anterior como una tarea pendiente que requiere su atención.
Este comportamiento ocurre cuando no se desea configurar la integración de Web Security Service para la cuenta y se intenta configurar los pasos rápidos de
Redirección de tráfico
que requiere un token de WSS válido para completar la tarea.
Problemas conocidos en la consola en la nube de la versión 14.2
Núm. de problema
Problema
Si cambia el nombre del grupo
Mi empresa
, el nombre del grupo no cambia en
.
Problemas conocidos en Endpoint Detection and Response
Núm. del problema
Problema
CDM-59593
Al intentar conectarse al endpoint, aparece el error
No es posible procesar la solicitud. Inténtelo de nuevo más tarde.
Motivo:
El token asignado al agente no tiene el privilegio necesario.
Solución:
El token puede tardar hasta 24 horas en actualizarse con los privilegios correctos.
CDM-59408
En algunos casos, solamente se descarga una parte de la sesión de Live Shell.
El problema está bajo investigación
CDM-59337
La ejecución del comando
history
en una sesión de Live Shell muestra algunos comandos no ejecutados en el resultado. Este es un comportamiento previsto para versiones anteriores de Windows PowerShell (2.0 ~ 4.x)
CDM-58656
Los comandos que requieren entradas de usuario no funcionan en Live Shell.
Este es el comportamiento previsto.No es posible ejecutar comandos de PowerShell que requieran entradas de usuario en una sesión de Live Shell.
CDM-59244
En algunos casos, un script pegado en una ventana del terminal de Live Shell no se mostrará correctamente. Por ejemplo, es posible ver varios signos de interrogación. En estos casos, pulse Intro dos veces para obtener un resultado apropiado.
CDM-59075
Algunos comandos se repiten de nuevo a la consola de Live Shell.
Este es el comportamiento previsto. Algunas versiones de Windows hacen eco de los comandos y otras no. Este problema es de PowerShell.
CDM-59073
La ejecución del comando de árbol en una sesión de Live Shell muestra caracteres especiales en el resultado.
El problema está bajo investigación.
CDM-59285
El agente que tenga contenido de EDR anterior (de la versión anterior a la versión 4.1.0.x) no devolverá el código de error correcto cuando se prueba Live Shell para ese dispositivo.
Por ejemplo, se muestra el error
No se pudo procesar la solicitud. Inténtelo de nuevo más tarde
.
Una vez que Live Update actualiza el contenido más reciente en el agente, no se producirá este problema.
CDM-58892
La sesión de Live Shell finaliza cuando se actualiza la página. Este es el comportamiento previsto.
CDM-59107
Los comandos que dan como resultado datos que tienen caracteres especiales en la respuesta (por ejemplo, caracteres chinos) no se muestran correctamente. PowerShell tampoco los muestra correctamente.
Este es un problema porque Java no admite bytes sin firma y, por lo tanto, no puede convertirlos correctamente.
SEDR-82684
El archivo de cuarentena no funciona para los archivos binarios firmados por Microsoft y Symantec incluso si el estado se muestra como correcto.
SEDR-84353
En
Agrupar por
en la página
Investigación
, se ven varios dispositivos con el mismo nombre después de eliminar el dispositivo de la página de detalles del dispositivo.
Solución alternativa:
Para ver
Dispositivos
, vaya a
Dispositivo y Dispositivos administrados
.
SEDR-79019
Para dispositivos con varias NIC, no se pueden buscar eventos usando IPv4, IPv6 y MAC de las NIC.
Solución alternativa:
Use el campo IP del dispositivo o la búsqueda de formulario libre usando el filtro de texto.
SEDR-84184
Para el campo de búsqueda personalizada Id. de criterios de la regla de cumplimiento, no se pueden buscar los valores 5, 15 y 25.
SEDR-84338
Se ha producido un error al mostrar los datos en la página
Investigación
cuando se inicia sesión usando credenciales de administrador personalizadas que no tienen el privilegio de vista de la página
Investigación
.
SEDR-84377
En el widget Eventos de aislamiento, si se hace clic en cualquier parte del eje X, no se redirigirá a la página Investigación.
SEDR-84295
A veces, se muestra un nombre de dispositivo incorrecto en los eventos
Agrupar por > Grupos de dispositivos
que son notificados por envíos silenciosos usando el UID del dispositivo.
4248791
Los nombres de archivo que tienen caracteres localizados no se muestran correctamente en la consola de CDM.
SEDR-84782
El intervalo de fechas de la aplicación de calendario para el asistente para
Obtener archivo
no tiene en cuenta los milisegundos.
SEDR-84480
En la página
Investigación
para el Tipo de evento 8027 (Eventos de detección de procesos), se muestra un valor de GUID en la columna Nombre de dispositivo en vez del nombre de host del dispositivo. Si se hace clic en el valor de GUID, abre la página de detalles del dispositivo.
SEDR-86816
Cuando se utiliza el operador de la consulta "No es igual a", no se muestran los registros con un valor NULO.
Este comportamiento funciona según lo diseñado. El operador de la consulta "No es igual a" solo devuelve registros con un valor no nulo especificado en la consulta.
4252243
El operador NOT con
Registry_Value_Result_Data
no está funcionando tal y como se esperaba.
4249980
Al hacer clic en algunos archivos no se muestra la página de detalles del archivo correspondiente. La solicitud da como error el error Archivo no encontrado. Para generar el inventario de archivos, habilite la función Symantec Application Control.
4254022
En la página
Investigación
, las consultas que usan el campo Usuario inactivo no devuelven los resultados esperados.
4254030
Algunas consultas en la búsqueda de forma libre muestran un error de validación porque los caracteres especiales no se escapan correctamente. Como solución alternativa, use la opción Filtro personalizado o evite usar caracteres especiales en la consulta.
4252335
Las consultas con el operador "Coincidencias" deben escapar los caracteres especiales usando "\".
4250916
La exportación del resultado de la búsqueda no exporta el campo Descripción.
4249983
El contenido está pendiente.
DPE-6521
Las conclusiones duplicadas están a veces presentes cuando hay varios eventos asociados a un incidente.